Dans un article que nous avions publié en 2015 sur ce blog nous vous avions présenté la réglementation fédérale américaine en matière de protection des données de santé. 2015, c’était avant l’entrée en application du RGPD le 25 mai 2018. Les sociétés françaises traitant de ce type de données ont depuis engagé un programme sans précédent de mise en conformité avec le nouveau règlement. Celles, parmi ces sociétés, qui ont des clients aux Etats-Unis ont, de plus, l’obligation de se conformer à la législation américaine en la matière. Il nous a dès lors paru utile de mettre en lumière dans cet article certaines différences notables entre les réglementations européenne et américaine, avec l’objectif d’attirer l’attention des acteurs français du secteur sur leurs obligations outre-Atlantique.
Contrairement à l’Europe, les États-Unis n’ont pas une approche globale de la protection des données personnelles. Pour plus d’informations, nous vous invitons à consulter cet autre article (en anglais celui-là) que nous avions publié comparant les approches européenne, américaine, et canadienne en matière de réglementation de la protection des données personnelles. La règlementation américaine dans le domaine des données personnelles suit une approche sectorielle. C’est notamment le cas dans le secteur de la santé, et si vos activités vous amènent à traiter des données de santé pour le compte de clients américains, il y a de grandes chances que vos clients vous demandent de démontrer votre conformité à la règlementation américaine en la matière.
Le « Health Insurance Portability and Accountability Act » (HIPAA) règlemente depuis 1996 au niveau fédéral l’utilisation des données dans le domaine de la santé. Certains États américains comme le Massachussetts ou la Californie se sont en outre dotés de lois étatiques en la matière qui, à certains égards, apparaissent plus contraignantes que la loi fédérale et auxquelles il faudra également vous conformer si vous avez des activités dans ces États.
De nombreuses ressemblances structurelles existent entre le RGPD et l’HIPAA. Ces réglementations ont toutes deux l’objectif de protéger la vie privée des individus en règlementant l’usage, la divulgation ou la transmission de données personnelles ainsi que leur sécurisation. Ces deux règlementations créent des droits à destination des personnes concernées et règlementent également le recours à la sous-traitance et la notification des failles de sécurité.
Un principe d’interdiction avec exceptions
Les deux textes sont construits sur un principe commun d’interdiction assortie d’un certain nombre d’exceptions. Pour le RGPD ces exceptions figurent à l’article 9, lequel prévoit un nombre de cas limités dans lesquels un responsable de traitement peut traiter des données de santé. L’HIPAA fonctionne de la même manière mais les situations dans lesquelles les données peuvent être utilisées sont plus nombreuses. Il est important de souligner que le recours à l’une des situations prévues par le RGPD n’impliquera pas nécessairement sa validité au regard de l’HIPAA.
Par exemple, si vous vous êtes assuré(e) de recueillir le consentement de la personne concernée pour traiter ses données de santé conformément à l’article 9.2.a du RGPD, cela n’implique pas nécessairement que ce consentement sera valide au regard d’HIPAA. En effet, les conditions de validité du consentement prévues par l’HIPAA peuvent être plus spécifiques que celles requises par le RGDP.
Ou encore, si vous souhaitez traiter des données de santé à des fins de recherche scientifique conformément à l’article 9.2.j du RGPD, sachez que l’HIPPA prévoit également de nombreux critères spécifiques et que les deux régulations ne se recoupent pas nécessairement.
La notification des failles de sécurité
En cas de faille de sécurité, l’obligation de notification n’aura pas le même seuil de déclenchement selon le texte envisagé. Pour l’HIPAA, le principe est qu’une utilisation ou divulgation non autorisée sera présumée être une faille de sécurité entrainant l’obligation de déclaration à moins que le responsable de traitement (« Covered Entity ») ou le sous-traitant (« Business Associate ») soit capable de démontrer qu’il y ait une faible probabilité que des informations de santé soient compromises.
Le RGPD adopte une approche différente en indiquant que les responsables de traitement ont l’obligation de notifier les violations de sécurité aux autorités de contrôle et personnes concernées à moins que la violation de sécurité ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
L’approche objective de l’HIPAA repose sur l’analyse du risque que des données de santé aient été compromises tandis que le RGPD préfère une analyse subjective qui repose sur l’analyse du risque pour les droits et libertés de la personne concernée.
Si les procédures internes de traitement des failles de sécurité sont susceptibles d’avoir des points communs, il sera néanmoins nécessaire d’adapter ces procédures selon la réglementation envisagée notamment au regard des délais de notification, 72 heures pour le RGPD, 60 jours pour l’HIPAA.
Les relations contractuelles avec les sous-traitants
L’HIPAA, tel que modifié par le « Health Information Technology for Economic and Clinical Health Act » (HITECH Act) en 2009 a vu son champ d’application s’étendre aux « Business Associates » (partenaires commerciaux, sous-traitants, prestataires) des « Covered Entities » (entités visées) tel que les hôpitaux, cliniques, compagnies d’assurance et mutuelles, initialement seules destinataires de la règlementation. Cette réforme a eu pour effet d’étendre considérablement le champ d’application du texte à certains types de prestataires dans le domaine de la santé.
Tant le RGPD, au travers des notions de responsable de traitement et de sous-traitant, que l’HIPAA, au travers des notions de Covered Entity et de Business Associate, s’appliquent donc à un nombre important d’entreprises. Les deux textes prévoient des obligations en matière contractuelle mais avec une rédaction différente pour l’une et l’autre. Les clauses du contrat devront donc être adaptées à la situation et les obligations qui en découlent ne seront pas nécessairement les mêmes.
Analyses d’impact
Les analyses d’impact sont encadrées par les deux textes, le RGPD étant plus contraignant et plus large que l’HIPAA, il recouvre une grande partie des obligations prévues par l’HIPAA en matière d’analyse des risques. Néanmoins l’HIPAA est une réglementation beaucoup plus spécifique, le gouvernement américain ayant par ailleurs publié des lignes directrices pour la réalisation de ces analyses d’impact. Les régulateurs étant différents, il sera nécessaire d’adapter ces analyses de risque.
En conclusion, si votre entreprise est déjà en conformité avec le RGPD et souhaite se conformer à l’HIPAA, le chemin à parcourir ne sera pas très long et impliquera principalement une adaptation de vos procédures internes à la règlementation HIPAA. Si au contraire, vous n’avez pas commencé votre processus de mise en conformité au RGPD et que vous vous savez concerné(e) par la règlementation HIPAA, il serait alors opportun d’envisager de réaliser les deux en même temps afin de mutualiser les efforts nécessaires pour atteindre cette conformité.
Dans cette démarche, faire appel aux services d’un avocat local et spécialisé dans ces questions est donc crucial.
En conséquence, n’hésitez pas à revenir vers nous si vous avez des questions !
—
Cet article a été rédigé avec la collaboration d’Aurélien Le Bret.